1864                                                       软件学报  2025  年第  36  卷第  4  期


                 示了通过发送相同的波形信号对特斯拉              Model S  毫米波雷达的干扰攻击, 可以致盲受害车辆.
                    由于目前毫米波雷达、激光雷达等传感器普及率还不高, 在传统安全观念中, 较欺骗而言, 干扰的威胁程度较
                 低. 然而, 随着自动驾驶技术逐步落地, 未来自动驾驶汽车必将装备大量车载传感器, 76–81 GHz 频谱将被大量占
                 用  [23] , 因此干扰问题需要得到足够重视. 同时研究者在对毫米波进行干扰攻击时发现相比于传统汽车, 毫米波雷
                 达干扰攻击对自动驾驶汽车威胁更大             [24] .

                 3.2   元件干扰
                    元件干扰是指通过声光电磁热等媒介, 利用电磁感应、瞬态变化、共振等物理现象带来的带外脆弱性, 通过
                 传感器的非预期设计功能, 干扰物理传感元件               (攻击作用点    B) 转换测量过程, 使得自动驾驶汽车感知能力下降、
                 错误甚至完全丧失.
                    传感器在工作时通常由敏感元件、转换元件、变换电路和辅助电源这                         4  部分组成, 敏感元件是指传感器中能
                 直接感受或响应被测物理量的部分; 转换元件是指传感器中能将敏感元件感受或响应的被测物理量转换成适合于
                 传输或测量的电信号部分; 变化电路用于进行信号转换、放大、运算与调制, 以便于使传感器输出数据显示和参
                 与控制. 本文所指传感元件主要是指敏感元件、转换元件和变换电路. 通过带外方式对物理元件施加影响, 可以增
                 3.4   语义欺骗
                 大、减小或破坏敏感元件的感受能力             [25,26] 、转换元件的转换能力或变换电路的调理能力             [27,28] , 使之偏离正常值
                 (未施加影响的测量值), 当这种改变的能力足够大时, 就可以控制传感器的工作, 实现控制车辆行驶的效果. 表                                2
                 列举了现有元件干扰的研究工作.

                                                 表 2 元件干扰相关研究工作

                  攻击目标                          攻击原理                                 攻击后果           文献
                   陀螺仪              调节扬声器声音频率, 使其与陀螺仪发生共振                      干扰陀螺仪测量角度变化量         [27]
                  加速度计    利用声波会对其传播路径上物理对象施力的原理, 引起加速度计电容变化                      控制加速度计测量值          [28]
                   摄像头                     恶意增加摄像头自动曝光                              致盲摄像头           [25]
                   摄像头        激光照射下, 由于温度场引起的热应力, 摄像头表面温度会上升                        损坏摄像头           [26]

                 3.3   信号欺骗
                    信号欺骗是指攻击者通过变造传感信号               (如  GPS  信号、雷达信号等), 将其直接注入对应感应装置, 欺骗传感
                 器的直接输出     (攻击作用点     C). 这种攻击无需考虑内部数据处理过程. 信号欺骗广泛存在于                   GPS、毫米波雷达、
                 超声波雷达等无需复杂数据处理的传感器中.
                    早期的欺骗技术较为简单, 如直接增加             GPS  强度  [29,30] , 重放激光、音波、毫米波信号     [25] 等. 由于存在断续、
                 突变等原因, 这些攻击极易被察觉          [31] , 于是攻击者设计了两阶段的欺骗技术, 首先进行信号同步, 如对               GPS  进行原
                 始信号与欺骗信号的平滑同步           [32] 、跟踪激光发射角度和强度       [33] ; 随后通过改变信号的到达时间或频率         [25,32] 来操
                 纵传感器, 实现隐藏或制造障碍物的效果. 如文献               [34−36] 指出当两个或更多雷达之间的定时、波形和频率相匹
                 配且回波信号功率超过一定阈值的时候, 会产生虚假目标从而造成雷达的误检. 文献                           [37] 研究了汽车雷达的线性
                 调频序列   (chirp sequence, CS) 与各种波形  (如连续波、FMCW  和  CS) 相互作用的效果, 推导了虚假目标出现的概率.
                    总的来说, 由于缺少人的参与, 无法通过人工验证信号真实性, 信号欺骗攻击在自动驾驶场景下具有更大的威
                 胁     [15,19] . 到目前为止, 信号欺骗技术已经较为成熟, 研究者主要关注欺骗实现的成本与效率               [16,38] .


                    语义欺骗是自动驾驶汽车特有的攻击方式, 是信号欺骗的特殊形式. 通俗地讲, 语义欺骗主要是利用对抗性输
                 入, 按照一定规则向传感器输入刻意制造并富含语义的感知信号, 旨在欺骗感知模块的目标检测模型, 产生如虚假
                 障碍物信息等具有欺骗效果的语义信息. 与信号欺骗相比, 语义欺骗更具有威胁性, 特别是基于雷达和摄像头构建
                 的感知系统. 一般来说, 在自动驾驶背景下, 对雷达、摄像头的信号欺骗已经很难经过预处理阶段成功转化成语义                                [11] ,
                 而这两个传感器极大程度上决定了自动驾驶感知的精确性, 因此对感知语义的攻击将对自动驾驶汽车及其人员造
                 成致命的威胁, 而且它的攻击实现更为隐蔽, 通常运行中的自动驾驶汽车难以检测抵御此类攻击.